GitHub评论功能被用来冒充微软托管恶意软件 目前 GitHub 被发现了一个严重的设计问题,有攻击者利用项目评论功能冒充微软等公司来分发恶意软件,并且这种情况已经持续有一段时间了。 以微软托管在 GitHub 上的 vcpkg 项目为例,这个项目开启了 issues 反馈,用户提交一个新的 issue 后其他用户可以在下面评论。评论功能支持附带文件,例如当上传一个名为 Cheat.Lab.2.7.2 .zip 的文件时,GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。 这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2 .zip 下载。 由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼。 蓝点 关注频道 @TestFlightCN 12.6K views新闻 投稿 , 08:03